編集可能

7pay不正チャージ・不正使用のセキュリティーの問題点が徐々に明らかに

まとめました。
135

7payでの不正チャージ・不正使用報告が続出

まとめ 【注意喚起】「7pay」でさっそくクレカ不正利用 相次ぐ高額チャージ→使用、ようやくセブンも認める 【7/4 14:00更新】全額補償の意向などが記載されたセブン&アイによる最新のリリースが掲出されています:[PDF]https://www.7andi.com/library/dbps_data/_template_/_res/news/2019/20190704_01.pdf 201340 pv 2250 156 users 485
シェアバー @Sharebars

しつこいですが、7payアプリは削除しましょう!オニギリ無料に釣られてアプリ登録したら、40万円搾取された(^.^) 1個40万円の人生最高価格のおにぎり。あっ、そういえばおにぎりクーポン来ないなぁ クレジットカード登録したら本当にヤバイよ! 7pay被害者を増やさない為に拡散して下さい! pic.twitter.com/4s0y9pnSKg

2019-07-03 16:48:04
拡大
Yahoo!ニュース @YahooNewsTopics

【7pay不正アクセス 被害相次ぐ】 yahoo.jp/yGF-o1 セブン・ペイは、モバイル決済サービス「7pay」の一部アカウントが、不正アクセスの被害を受けたと明らかにした。不正利用を防ぐため、ID、パスワード、認証パスワードの管理に注意を呼び掛けている。

2019-07-03 16:09:16

カードでのチャージを停止へ

リンク ITmedia NEWS 7pay、クレジット・デビットカードでのチャージ停止 不正利用対策で 「7pay」で不正ログインの被害が相次いでいる。セブン&アイ・ホールディングスは対策として、クレジットカードとデビットカードによるチャージを一時停止した。再開時期は未定。 9 users 142

生年月日と登録したメールアドレスが分かれば、パスワードリセットメールを任意のメールアドレスに送付できる

のらねこ! @ragemax

パスワード再発行からアカウント盗めたって、どんなにパスワードが複雑で使いまわししてなくても関係ないってことじゃないですか。ムチャクチャすぎるな。

2019-07-03 22:09:50
のらねこ! @ragemax

と思ったけど、これもしかして誰でもID盗める仕様なんじゃないのか……って7IDのパスワード再発行ページみたら気づいてしまった。なんで登録メールアドレスと別に送付先メールアドレスの欄をうかつに用意してんだ。登録メールアドレスが使えない状況を想定したのか pic.twitter.com/g4grunhBRT

2019-07-03 22:09:51
拡大
shao / 澤田 翔 @shao1555

#7pay のログインアカウントであるomni7のパスワードリセット機能、生年月日と元のメアドが分かれば攻撃者のメールアドレスからパスワードリセットかけられる仕様になってますね。 ただ現時点ではパスワードリセットメールが飛んでこないので何らかの対応がなされている可能性があります。 twitter.com/shao1555/statu… pic.twitter.com/wO2hrzrp9K

2019-07-03 21:31:57
拡大
植草信男🏠Lv45 @weboo

@shao1555 自分も試してみましたが、パスワードリセットメールは送られてきませんでした。応急処置として、送信を止めてるかもしれませんね。

2019-07-03 22:46:33
fakecomponents @fakecomponents

@shao1555 自分が22時頃に試したときには任意のメールアドレスでさくっとパスワードリセットできました。使ったのはyahooメールです。

2019-07-03 22:51:56
ぶっく@年中有給 @iedred7584

7pay、パスワードリセット用の漏らしてはいけないリンクの送信先メールアドレスをパスワードリセットリクエスト画面上で指定可能で誕生日とか登録アドレスが合っていれば好きなアドレスで受信できてパスワード変更可能とかそのままサービス終了したほうが良いレベルなのでは

2019-07-03 23:33:59

登録時に生年月日を入力しないと、自動的に2019/01/01になる(iOSのみ?)

Hiromitsu Takagi @HiromitsuTakagi

自宅(テレワークを除く)研究員 blog@takagi-hiromitsu.jp

takagi-hiromitsu.jp

Hiromitsu Takagi @HiromitsuTakagi

7payのアプリ、新規会員登録は、生年月日なしで登録できる。そうしている人も多いだろう。 pic.twitter.com/OYTWVIgi5g

2019-07-04 06:51:40
拡大
拡大
拡大
拡大
Hiromitsu Takagi @HiromitsuTakagi

この「未選択」の場合、「生年月日2019/01/01…と設定されています。」だという。まさか……ね……。 pic.twitter.com/EBI5bCexg5

2019-07-04 06:54:02
拡大
拡大
拡大
拡大
J416◆DY//wVKWks @j416dy

@HiromitsuTakagi 現時点で都道府県、生年月日、性別 Android版は必須 iOS版は任意ですね pic.twitter.com/SKCY5WHS6M

2019-07-04 07:08:36
拡大

生年月日を登録しないとパスワードリセットできないはずなのにできてしまう

48時間 @48h_fight

@HiromitsuTakagi 生年月日登録してない人はパスワード再発行できないはずなのに出来ちゃうんですね😢 20190101 is magic number✨ pic.twitter.com/27vUfBrXue

2019-07-04 07:03:05
拡大

誕生日未登録の人は自動的に2019/01/01になるので、その人のログインIDのメールアドレスさえわかれば、任意のメールアドレスにパスワードリセットメールを送ることができる

Hiromasa Ihara @miettal

7pay ・パスワードリセットの送り先URLに任意のメールアドレスが使用可能なため、ID(メールアドレス)と誕生日が分かれば第三者がログインできてしまう ・誕生日を登録していないとシステム上2019年1月1日生まれとして処理され、IDが分かれば第三者がログインできてしまう

2019-07-04 08:37:50
ぬるてふ@EFFYサイクルジャージ計画 @Nullpo_default

7Payの不正利用で、情報を漁るとこんな感じになる。 7Pay不正利用は何が原因だろうか? ↓ アプリログインがSMS認証等の多要素認証なし ↓ パスワード使い回し等で流失データか? ↓ Omni7パスワードリセットの仕組みがかなりアレということが分かる。

2019-07-04 01:19:35
残りを読む(32)

コメント

@onpu_original 2019年7月4日
これで日本のものづくりとか言ってるから笑える
38
名無しさん@お腹いっぱい @vicy 2019年7月4日
つーか、payって口座じゃなくてクレカから引き落とされるのか。 だったらクレカで払えばよくね? 手間とリスクを増やして、クレカ会社と、決済代行会社の2社に手数料取られるとか、情報化社会の進化を逆行してるわ。
85
ゲーム用垢 @z1g6309 2019年7月4日
決済アプリで全画面広告出してる時点でもう設計思想がダメダメでしょう 今すぐアンインストールしましょう
47
緑川⋈だむ @Dam_midorikawa 2019年7月4日
決済アプリ乱立で出遅れて勝てそうになかったから、業界ごと自爆して焼き払うつもりなんじゃないのこれ
38
緑川⋈だむ @Dam_midorikawa 2019年7月4日
vicy結局クレジットカードのフロントエンドにすぎないのなら、レジにクレジットカード突っ込むほうがちまちまアプリ立ち上げるより早い
61
どんちゃん @Donbe 2019年7月4日
つっかえねー!omniは昔、代引きで一回利用しただけだから大丈夫……だよな?
0
さとうあきひろ @akihirosato1975 2019年7月4日
vicy 正確にはプリペイドのチャージ手段の一つとしてクレジットカードが使えるって形。あと7payの決済はグループ会社のセブンペイが担当で、pay部分の手数料はグループ内取引になる(裏で既存のシステムをOEM提供されてて、そこの利用料払ってる可能性はあるけど)。クレカ会社への手数料も7&iクラスだと相当割引されてそう。
8
Otaku魔法使い @akbfc 2019年7月4日
あらゆる面で「日本のシステム開発」ですね。
36
ハンミョウ獣人 @OrmFkkQMQISzCIz 2019年7月4日
クレジットカードで落ちるんならカードでいいし、アプリで決済したければnanacoモバイルでいいのでは……えっiOSではnanacoモバイルが無い……まだ無いままなんですか。
4
さとうあきひろ @akihirosato1975 2019年7月4日
OrmFkkQMQISzCIz あくまでnanacoをメインに据えて、他社のQRコード決済(LINE pay、メルペイ等)にも対応しますよっていう程度の話にしておけばよかったのに、わざわざ自社独自のQRコード決済を用意して、そんでこんだけのガバガバな体制をさらすって何考えてんだって話ですよね。
45
trycatch777 @trycatch777 2019年7月4日
いくら乱立しているからとはいえ、決済系のシステムでこんなおかしな仕様はさすがにどこかでストップかけるべきだった。こういうようなシステムが堂々と世の中に出てくるのは凄いな。以前はお金に関わるシステムにはちゃんとコストを掛けて十分なレビュー・テストをしていた筈だけど、速度重視だとか訳のわからない事を言われて作っちゃったのかなぁ…
39
モンタ 東京ホビーポータル店主 @chrysolina 2019年7月4日
最近、大手でちゃんとしてるとい思っていたところのしょうもない不祥事が続いてるじゃない。これって偶然じゃないんだよね。俺は今年で40だけど、同世代なら気付いているはず。取捨選択されなかったバブル世代が決裁権もつ時代ってこういうことだと。
50
どひつじ @dohituji 2019年7月4日
生年月日を登録してなければアドレスだけでアカウント乗っ取れるの、草も生えない。
41
ハムハム @8ham6ham8ham6 2019年7月4日
ペイって付くだけでもう駄目なイメージが出来つつある。
59
おむすびくん295号 @omusubikun295 2019年7月4日
またどうせ、技術や人材にきちんと金払うの渋って独自開発とかでノウハウ無い社員に開発押し付けて、スケジュール管理ぐだぐだのブラックマーチで間に合わせた、って感じじゃねーの?そうじゃなかったらごめんなさい。
28
aeroゾル@ボイチェ @aero49336685 2019年7月4日
まとめや引用ツイートリプ欄見る限りだと主原因の別メアド記入欄はただ隠したようなもので不正アクセスするよな輩には全く意味ない対策しかしてないっぽいね。 現状だと7payやomni7その他諸々登録されてあるクレカ情報を各自で消すしかなさそう
34
すいか @pear00234 2019年7月4日
trycatch777 意識だけが高い系の人が仕切るとこうなる。その手の人はベストエフォートの仕事しか目に入らず、マーク・ザッカーバーグの「Done is better than perfect.」を金科玉条に崇め奉るGAFA根性しかないから。
10
ヒロセジロウ ✏️ @denjiro13 2019年7月4日
セキュアコーディングを!──とかいう以前の、はるか手前の話でびっくりした。よくまあこんな仕様を考えついたなと感心するわ
8
Moo1courage @moo1courage 2019年7月4日
解約したりアンインストールしちゃうと当事者として楽しめなくなるやん。最低限の登録だけして当事者として文句言うのが楽しいんやぞ。
1
Daregada @daichi14657 2019年7月4日
aero49336685 「display: none;」ではダメな例として講義で使えるな...
40
林 伯文 @borshch77 2019年7月4日
そういえば、中国へ旅行に行く前に、国内でポケットチェンジを使ってWechat payへ入金したとき、SMS認証が必要だったな。なんでこのタイミングで?と思ったけど、セキュリティとしては悪くないのか。
0
カブサカモト @SakamotoTosu 2019年7月4日
マナカナがとばっちり受けませんように・・・・
6
カブサカモト @SakamotoTosu 2019年7月4日
ふたりっ子の頃からのファンなので・・・
5
練り馬 @deltamouth 2019年7月4日
直接は関係ないのだろうけど、これをやらかした会社はグループに銀行を持ってるっていうのがね。銀行なんて信用が第一なのに、「銀行も推して知るべし」って思われたらどうするのよ。
39
Cipher @Cipher0874 2019年7月4日
今更決済手段増やすなアホとか思ってたらそれ以前の問題だった
17
みどりん @mid_k_ranger 2019年7月4日
display:none; という神対応に思わずニッコリ。
5
山吹色のかすてーら @sir_manmos 2019年7月4日
なんでクレカやデビッドカードのICカードで支払い出きるのにアプリ通すのかなぁ。多少のポイントより便利さと、なんといってもセキュリティを考慮するならありえない。あ、「XXポイントありますか?」って聞かれるのがウザい。
2
ノラ @kuroi_honnne 2019年7月4日
これがシンプルにダメなことはわかるけど「日本の大企業はダメ」とか「エンジニアは悪くない」だのましてや「バブル世代が悪い」とか言ってる人達って想像力豊かですねえ。
8
緑川⋈だむ @Dam_midorikawa 2019年7月4日
と言うか、支那人のサルマネで始めた決済方法がうまく行く訳がないだろうと
1
ふんぬらーり @mafmaf52 2019年7月4日
技術側が様々なセキュリティ対策提示しても 利用の手軽さを阻害しそうなものは全却下だったのかしらね nanaco還元率半減させて大々的に誘導しようとしたらこのざまで笑うしかない
20
cinefuk 🌀 @cinefuk 2019年7月4日
sir_manmos コンビニのレジでは顧客属性を見た目で決めて、店員が購入者のタグ付けしている。これがアプリになれば、「○○年○○月○○日生まれの[固有ID]さんの購入履歴」を本部で参照出来て、マーケティングに使える。さらに個人情報を伏せて、ビッグデータとして外部に販売できる。アプリ自体では収益がマイナスになっても構わない(という目論見だった)
6
さとうあきひろ @akihirosato1975 2019年7月4日
cinefuk nanacoは本来は利用者登録必須なので、ICカードでも顧客データは十分収集できたはずなんですよ。ところが実態として無記名nanacoが結構大々的に流通してしまってたので(店舗に新規獲得ノルマとして割り当てられたものがバラまかれたりしてる模様。あと限定デザインカードプレゼントとかもある)、新たにアプリを導入しないといけない状態になってたらしく、その意味でもダメダメなんです。
11
aomakerel @aomakerel1782 2019年7月4日
鯖がデータ受け付けるんじゃ仮対応にもならないよ……
2
夢浦忍 @Y_SINOBU 2019年7月4日
akihirosato1975 しかも、nanacoとセブンペイではチャージ金額が別扱いなので、同じコンビニの電子マネーなの無関係な別サービスという
9
catch__23 @catch__23 2019年7月4日
嘘の生年月日を登録する方が安全な気がしてきた。規約に違反するだろうからそのリスクもある。
0
越前 @blitts_runner 2019年7月4日
「190212_copy_copy_copy_2_copy_copy_copy.html」こんな糞みたいなファイル名でプレスリリース出す組織だぜ?そりゃ、お察しだわ。
46
jpnemp @jpnemp 2019年7月4日
onpu_original IT産業は虚業!って言ってましたもんね
0
しろの @zoshirono 2019年7月4日
これ現状の被害者はクレカ会社になるのかなあ。クレカ会社の被害額結構過ごそう
1
denev @_denev_ 2019年7月4日
kuroi_honnne もう少し危機感を持とうよ。
16
堀石 廉 (石華工匠) @Holyithylene 2019年7月4日
誕生日未登録の人はパスワードリセットできないところ、入力しないと2019/01/01で登録されてしまうので未登録にならずにパスワードリセット出来てしまう、ってなんだよその設計は……
12
ALCaDEUS-メカ娘派/Dr.LiLY @d07249 2019年7月4日
nanacoを引継できない時点で魅力は殆どないのに、 これじゃ初期PayPayかそれ以上に信用できない。 それとCSS程度で蓋した気になってるのもお粗末。 (chromeの内蔵ツール使えばメアド欄即復活) とにかく「流行に乗る」以外のやる気がなさ過ぎ。
21
denev @_denev_ 2019年7月4日
セブン&アイホールディングスはお金を扱う能力がないのでは‥。
8
豆腐の角 @ayutimali 2019年7月4日
リアル店舗の顧客囲い用のシステムの認証を決済プラットフォームに使い回すからこうなった
0
豆腐の角 @ayutimali 2019年7月4日
trycatch777 セキュリティコンサルが機能してないんでしょ
1
Yuh @74hc138 2019年7月4日
この仕様はマズイなあ。。。 iOSアプリの仕様検討時、7idの仕様をちゃんと調べず、コンバージョンレートを優先した結果な感じかな。
0
しろうと @sirouto 2019年7月4日
情報セキュリティガバナンス:IPA 独立行政法人 情報処理推進機構 https://www.ipa.go.jp/security/manager/know/meaning/governance.html 事件の再発を防ぐには、「ITガバナンス」、とくに「セキュリティガバナンス」が必要。 たまたまセキリュティ意識の低い開発ガチャを引いただけで、企業全体で億単位の被害が出る。だから全体で統制、監査の仕組みが必要。国策レベルで決済のキャッシュレス化を推進したいなら、なおさら社会的にも重要。
11
すいか @pear00234 2019年7月4日
_denev_ 銀行もってるけど、銀行も推して知るべしかな。セブン&アイの企業体質っぽいもん。
3
Earwax @Earwax97409510 2019年7月4日
クレカの件で懐が痛むのは消費者と保険会社だけど、無限おにぎりの方は自分にダメージが来るから実はセブン本体にとってはそっちの方が深刻だったりして。
2
ケロちゃん@釜 @xenon122 2019年7月4日
この件にかこつけて日本の大企業だのバブル世代だの嫌いな物を叩きだしたり雑なエンジニア無罪論を振り回す人は少しツイッター的世界観に毒され過ぎじゃないかと思う
7
denev @_denev_ 2019年7月4日
xenon122 ここまでアホみたいなサービス品質を見せつけられると、たまたま巡り合わせが悪かった、で納得できる人はいないと思いますよ。起こるべくして起こった事態でしょう。
20
Hacchi @2mocccck 2019年7月4日
cssとJSはあっさり改竄されるからそのつもりで実装しろといの一番に教えてもらえるはずだけど、なんでこんなことになってるんだろ? 最低限のルールさえ守られてないレベルに見える。
5
ノラ @kuroi_honnne 2019年7月4日
_denev_ FluoRiteTW 少なくともバブル世代云々とかなにを根拠に言ってるのか意味不明すぎ。
1
SAKURA87@多摩丁督 @Sakura87_net 2019年7月4日
チャイナな天才ハカーにでもクラックされたのかと思ったら、割と小学生でもやり方知ってればできそうな感じでもうなんかあれ。
12
ノラ @kuroi_honnne 2019年7月4日
_denev_ それの根拠がなんでバブル世代なのか本気で意味不明なんですが。なんの因果関係があってそれは証明できるのかと。
2
denev @_denev_ 2019年7月4日
kuroi_honnne それならそれで、あなたなりにこの事態を分析してみればいいでしょう。問題を矮小化しようとする前にね。
4
ノラ @kuroi_honnne 2019年7月4日
_denev_ (言い出したのはあなたじゃないけど)「7payの問題は世代の問題ではない」という悪魔の証明は不可能。あるとした方が証明すべき。できないならただの言いがかりだしその世代の人間に対して著しく失礼。
3
九銀@半bot @kuginnya 2019年7月4日
ゲームの裏技と同レベルの脆弱性に草
20
いす @IrGGkz9pWHEF4b8 2019年7月4日
8ham6ham8ham6 深刻なアダモちゃんへの風評被害
1
Inetgate Writer @Inetgate 2019年7月4日
#7Pay の件、ここまでひどいやらかしだと、最低でも、金融庁 @fsa_JAPAN 、消費者庁 @caa_shohishacho 、 総務省 @MIC_JAPAN 、あたりにはこってり絞られないと駄目でしょ。
1
すいか @pear00234 2019年7月4日
Inetgate クレジットカード加盟取り消しすべきだと思うわ比較的マジで。
11
ばしにぃ @hiro_orso_viola 2019年7月4日
7Payとセブンイレブンアプリはイコールではないのでご注意を。
2
Ito Manabu (まなびぃ) @manaby76 2019年7月4日
pear00234 コンビニでのクレカ決済は、カード会社にとっても魅力的な案件なので、あっさり切り捨てるようなことにはならない感じ。
0
さくさくまんぼ @rcwfhzyk 2019年7月4日
こんなアホなサービスとっとと捨てて、nanacoポイントを100円で1ポイントに戻せ
13
slips @techno_chombo 2019年7月4日
vicy メリットとしては2つ。個別店舗が直接クレジットカード会社と加盟店契約するより、店舗側の負担手数料は減ります。それと、バーコード決済だと導入費用が格段に安いです。
3
空弁者 @scavenger0519 2019年7月4日
『僕に誕生日プレゼントしてくれる人たちはみな僕の誕生日をご存知です』 『僕にメールくれる人たちはみな僕のメールアドレスをご存知です』
1
K.Yanagisawa @K_Yana47 2019年7月4日
nanacoあるのに何でこんなもん始めたのか? 利便性が良いわけでも、棲み分けができるわけでもないのに。とりあえずおにぎりもらうのに1000円チャージしたけど、使い切ったらnanacoに戻る。
2
slips @techno_chombo 2019年7月4日
Sakura87_net なんか「中国からハッキングとか言っとくと批判避けられそう」みたいなのが透けちゃってて嫌だったなぁ。たとえ中国からのハッキングだとしても、チャージした残高を使うのは日本国内でセブンイレブンの実店舗に行かないとダメなわけだし。
10
neologcutter @neologcuter 2019年7月4日
こういう可能性もあるから自分はコンビニでは現金しか使わない。つーか日本の紙幣は世界でもトップクラスの偽造しにくさなんだよ?
0
water20 @water20 2019年7月5日
秋に消費税が上がると食料品は現金は 10%、QRやクレジットカードだと8%の消費税になります。それでも現金を使うと言うならどうぞ。
0
gaheki @gaheki 2019年7月5日
「スパム名簿用意して総当たりで生年月日2019/01/01でパスワードリセット申請を自前のメアド宛に出してしてればその内当たる」そういう事が出来てしまってたわけだから生年月日書かなかった時点でどうしようもないってのがね…  中には個人情報保護意識して書かなかった人も結構いただろうに
1
tantal @tantal073 2019年7月5日
日本のシステムとかいっとるけど天下のMSも何度もログイン試行できる仕様のアホサイトが存在してXBOXのアカウントハックされまくっとったで
1
お空キレイキレイ @747_bold 2019年7月5日
blitts_runner 草 流石にどこかでファイル名直そうって思わないのかな
0
空家の恵比寿様1968 @ebcdic_ascii 2019年7月5日
さすがにアプリはストアから引っ込めたか
2
豆腐の角 @ayutimali 2019年7月5日
元々omni7自体は通販ポータルと自社グループのポイントプラットフォームだから認証わざと緩い(決済は別システム前提)。それを決済用に使ったのがどうかしてる。以前appleがやらかした電子レシート使い回し放題と同じレベルでどうかしてる。
0
豆腐の角 @ayutimali 2019年7月5日
747_bold 一度出したらファイル名変更すると株式市場のルールに抵触
0
豆腐の角 @ayutimali 2019年7月5日
ちなappleのやらかしはproxy用意して決済確認トラップすればどこのサイト向けかつ誰のレシートでも使い回しokだったというもの。構造的には糞甘な決済確認使い回したという点で一緒
0
鶴見 @snk33970362 2019年7月5日
電子マネー進んでほしいけど、paypayもそうだけどセキュリティ毎回ザルなのがなあ
0
ALCaDEUS-メカ娘派/Dr.LiLY @d07249 2019年7月5日
water20 トータルが分かりにくい2%の増税と、 最悪億規模の実数明確な詐取トラブル。 後者の方を恐れるって人は多そう。
0
空家の恵比寿様1968 @ebcdic_ascii 2019年7月5日
ebcdic_ascii セブンイレブンアプリは普通にありました。すみません。ファミペイみたいに単独アプリにしてるのかと思ってた。
0
立月 @tatuki911 2019年7月5日
一応だけどこれからpaypayみたいにいろんな店舗で使えることを想定してやってるんだよな?このサービス。一般的なコンビニ全店で使えるようにならないと結局ポイントカードがスマホに移動するだけだし、トップがセキュリティを理解してないアプリなんてポイントカードよりクソだぞ
0
thx4311@平壌運転 @thx_4311 2019年7月5日
謝罪と経緯説明の記者会見に技術者が同席していなかったらしいという話を聞くと、システム設計において、文系バカの「もっとユーザーフレンドリーな設計にしろ!(バカでも使える仕様にしろ!)」という大活躍があったのじゃないかと勘ぐってしまう。
3